2015 年 11 月,亚信科技收购趋势科技中国成立了亚信安全,趋势科技中国的产品、市场、营销等体系全部并入亚信安全,高级威胁治理战略也随之成为亚信安全的核心战略之一,继续在新的平台上不断演化,并于 2018 年发布了演化的高级威胁治理战略 3.0 - XDR。 战略 3.0 提出 XDR 有两个背景:
前面第一章 1.5 小结介绍过 “点线面体” 威胁分层描述模型,用结构化的方式描述威胁的构成,如下如:
那么接下来这张图就进一步阐述哪些技术用于检测哪些层面的威胁问题,即威胁分层检测分析模型:
威胁分层描述模型和威胁分层检测分析模型一起构成了 XDR 点线面体方法论。
注释:XDR方法论模型于2017年提出,2019年我来到某数字公司后,发现国内XDR产品大多还处于概念或者产品原型阶段,很多公司甚至不清楚如何定义XDR产品,因此,在2020年初,又增补了XDR在“检测”“分析”“响应”方面的详细阐述和说明,并把这部分作为战略4.0中的XDR 2.0的升级,我们下文再展开介绍。
2018 年高级威胁治理战略 3.0 - XDR 的提出,可以说是战略 2.0 中有关 “全面的威胁联动治理体系 - Better Together,SOAR 1.0” 的进一步细化和落地。那么战略 2.0 落地过程到底遇到了哪些问题?为什么提出 XDR 体系?XDR 体系究竟是如何解决这些问题的?以下部分将进行详述。
如何将 “一个中心,四个过程” 的高级威胁治理战略和用户的安全运营相结合成为战略 2.0 落地过程中遇到的最大的挑战。
从安全运营的发展历史、现状、以及今后的发展方向来看,安全运营的演化大体上划分为四个阶段:
这个阶段用户安全运营大多采用策略、规则及黑白名单等措施,防范已知威胁,常用技术手段包括抗 DDoS、防火墙、IPS、Web 网关、邮件网关、防病毒、WAF、身份认证、ACL、网闸、SOC、审计等;
这个阶段用户安全运营开始借助行为分析、机器学习、大数据、关联分析等能力,发现可疑威胁,常用技术手段包括威胁情报、沙箱、EDR、NDR、NTA、UEBA、回溯扫描、大数据、机器学习、态势感知等;
这个阶段用户安全运营主要以快速恢复补救(Resilience)为主要目标,常用技术手段包括响应预案、自动化编排、案件管理、验伤和调查取证等;
注释:如果不是几天前的RSAC大会,估计很多人还不知道“Resilience”这个词,早在2017年,我的时任领导童宁就已关注并倡导“Resilience”,给出了安全视角的解释“快速恢复补救”,并提出了高级威胁防御的最后防线:快速恢复补救体系 - Resilience(体系4 – Resilience 1.0),在后文有详细介绍。
这个阶段用户的安全运营将以风险评估和主动预防为主,相关技术手段也会围绕着两个目标展开,现在谈该阶段还为时过早,所以这部分暂且放置不表。
从上图中我们看到,超过 90% 的用户完成了 “阻断” 阶段的安全运营建设,大约 60% 的用户着手 “发现” 阶段的安全运营建设,但只有不足 5% 的用户具备有限的 “响应” 阶段的安全运营能力。我们不难发现,从 “发现” 阶段到 “响应” 阶段,事实上存在着一条巨大的安全运营 “能力鸿沟”。正是这条能力鸿沟,致使规划的落地遭遇了现实的瓶颈。
注释:以上描述写于2018年,当时具备高级威胁检测能力的用户并不多,具备响应能力的用户就更少,得益于连续几年的HVV活动,极大促进了高级威胁检测和响应领域的建设,提升了应对高级威胁的安全运营能力。
那么,我们不妨先研究一下,从 “发现” 到 “响应” 到底需要怎样的能力构成?到底是哪些关键能力的缺失影响了用户的安全运营?
大量成功的实践告诉我们,从 “发现” 到 “响应” 包括以下四个步骤的能力构成:
来自各类检测工具的威胁告警通常会汇集到用户的态势/SIEM/SOC 平台,然后以工单的方式派发出来,接下来就是 “告警受理” 这个步骤,这个步骤包括两部分内容:告警降噪、去重、聚合,初步分类和优先级划分,也就是告警的预处理;
验伤原意是战场上迅速判断伤员的伤势,这里指判断攻击的真实性,确认攻击的本质和攻击者的意图;
回溯攻击场景、评估攻击的严重性、影响和范围;
根据响应脚本,制定、下发、执行响应策略,完成修复补救和结果反馈,最后结案归档。
以上过程需借助 EDR、NDR、威胁情报、沙箱、ATT&CK 等相关产品和工具,以及 MDR 检测和响应安全专家服务,执行自动化告警预处理、验伤和取证、以及制定和执行响应策略等具体工作内容,整个过程还需要案件管理、响应预案、自动化精密编排等流程作为保障,把这些内容放在一起,构成了 SOAR。
2017 年 Gartner 提出了精密编排的自动化响应 SOAR 模型(Security Orchestration,Automation and Response),并且提出将安全产品以及安全流程链接和整合起来,通过预定义的工作流(Work flow)和工作脚本(Playbook)来标准化事件调查处置流程,提升威胁响应的自动化程度和执行效率。这些内容现在已是老生常谈,不再赘述。
SOAR 为应急响应和案件处理带来的好处不言而喻:
注释:这里需要补充的是SOAR的发展现状。从2017年Gartner提出SOAR到今天,我们看到SOAR在安全运营领域得到了广泛的应用。从产品形态上看,有的作为SIEM、SOC或态势的组件,有的作为独立产品;从功能侧重上,也划分成了两类:一类侧重专家分析(分析阶段),一类侧重自动化响应(响应阶段),后者目前成熟产品比较多,相较而言侧重专家分析的SOAR相对较少,尤其是能够支撑自动化验伤取证的SOAR并不多,原因在于把专家分析过程自动化需要大量的事件样本的模式化,个人认为这将是XDR领域未来需要进一步提升的技术难点之一,当然这也是MDR高级安全专家服务被广为接受的另一个原因。
为突出从 “检测”“分析” 到 “响应” 整个过程的核心能力,我们将 EDR、NDR、MDR 和 SOAR 所构成的精密编排的自动化检测和响应体系定义为 XDR,即战略 3.0 的核心。
前面介绍过,威胁治理模型包括 “检测、分析、响应、预防” 四个阶段,威胁描述模型包括 “点、线、面、体” 四个层次,那么,如果我们把这两个模型叠加起来,就会形成一个螺旋矩阵,如果将每个矩阵空格所对应的关键技术标注起来,就构成了” XDR 技术螺旋矩阵模型”,如下图所示:
同样,上述模型如果对应到相关产品品类上,就构成了 “XDR 产品螺旋矩阵模型”,如下图所示:
产品螺旋矩阵模型从结构上阐述了高级威胁治理战略相关产品的定位以及相互之间的静态关系。下图则描述了 XDR 的核心业务逻辑及工作流程:
基于以上 XDR 产品逻辑关系及工作流编排,2018 年亚信安全高级威胁治理战略 3.0 - XDR 产品方案如下图所示:
关于弹性(Resilience),每个人有自己的理解和认识,在不同领域不同场景下会有很多具象化的形式,我理解的弹性(Resilience)有三个角度:
注释:随着技术的进步,最近一两年终于看到了基于业务弹性的产品和解决方案,当业务或数据遭到破坏时,可以在秒级至分钟级实现业务和数据的快速恢复,甚至提供了强大的业务多活能力,让同一个业务同时在多个数据中心提供在线服务,如果其中一个业务实例被破坏,其他业务实例仍然会在线提供服务,丝毫不会受到影响,正如孙悟空的分身术一样,极大提升了业务的在线弹性,这部分内容我会另外行文介绍。
2019 年 RSAC 创新沙盒比赛,Axonius 公司的 “资产管理” 异军突起,给高级威胁治理中如何规划和践行 “预防” 过程提供了借鉴思路,由此启发补充了 “基于资产和脆弱性的风险评估管理体系(体系 5 - RAM)“,并作为战略 3.0 的又一个补充。 “预防” 是高级威胁治理的 “风险管控系统”。较之前面的三个过程,该过程相对独立,顾名思义,该过程包括了 “预测(Prediction)”、“预警(Precaution)” 和 “预防(Prevention)” 三方面内容。 “预测” 是通过大数据分析、机器学习、AI、关联分析、统计学分析、模式分析、UEBA 分析等技术发现新的威胁特征、威胁活动、威胁事件,以及威胁发展趋势,具备威胁感知和预测能力,做到提前预测;“预警” 是对即将产生的风险进行灾难评估、提出并采取风险缓解和风险消除的措施,如 0 Day 或 1 Day 漏洞管理;“预防” 是为防止攻击者发现、破坏或窃取企业的信息资产,用户需要通过相关技术手段做好资产摸排,摸清家底,了解要保护的对象,是高级威胁防御的第一步,知彼知己方能百战百胜。因此,“资产管理” 是这个阶段所重点涉及的内容之一,“资产管理” 不仅仅是针对网络设备、主机、终端以及安全产品的管理,更重要的是针对 “核心信息资产” 的管理。另外,“风险评估” 是这个阶段需要重要关注的另一方面内容,“风险” 意味着黑客入侵或攻击一个目标的可能性,正确和全面的做好风险评估,可有利于加固自身安全建设,减少目标被攻击的概率,提高攻击者的攻击复杂度,也可以让用户对自身的安全状况有更明确的认识,并为进一步安全建设提供方向和策略。
基于资产和脆弱性的风险评估管理体系通常由三部分内容构成:
综上,已经把高级威胁治理战略 2.0 和 3.0 的主要内容还原了一番,其中包括了两个方法论和七个支撑体系,以及若干分析模型,接下来再通过两篇文章为大家继续阐述 2020 年 “演化的高级威胁治理战略 4.0 – All In” 的完整内容。 最后,谨以此文致谢从趋势科技到亚信安全一路予以帮助和支持的老领导童宁,他是国内 XDR 和 Resilience 最早的理念提出者和战略规划者,同时也感谢趋势科技赋予的行业和时代前瞻性,让我更早接触和深入这个领域。 (未完待续)